Помогите, вирус выкинул Аваст из автозапуска, увеличился трафик.
Произвел тестирование по вашим правилам, отправляю логи.
Помогите, вирус выкинул Аваст из автозапуска, увеличился трафик.
Произвел тестирование по вашим правилам, отправляю логи.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('H:\WINDOWS\Temp\xhcodec5140.exe',''); QuarantineFile('H:\WINDOWS\system32\qz.sys',''); QuarantineFile('H:\WINDOWS\system32\qz.dll',''); QuarantineFile('H:\WINDOWS\update.exe',''); QuarantineFile('H:\WINDOWS\mmhren1.exe',''); QuarantineFile('H:\WINDOWS\ShowWnd.exe',''); QuarantineFile('H:\WINDOWS\system32\drivers\grande48.sys',''); QuarantineFile('H:\WINDOWS\system32\ovwscn.sys',''); QuarantineFile('H:\WINDOWS\system32\ovrscn.sys',''); QuarantineFile('H:\WINDOWS\system32\ovrscn.dll',''); QuarantineFile('H:\WINDOWS\system32\crypts.dll',''); DeleteFile('H:\WINDOWS\system32\ovrscn.dll'); DeleteFile('H:\WINDOWS\system32\ovrscn.sys'); DeleteFile('H:\WINDOWS\system32\ovwscn.sys'); DeleteFile('H:\WINDOWS\system32\drivers\grande48.sys'); DeleteFile('H:\WINDOWS\mmhren1.exe'); DeleteFile('H:\WINDOWS\update.exe'); DeleteFile('H:\Documents and Settings\Serg\Local Settings\Temp\Temporary Internet Files\Content.IE5\4BDT52LC\xhcodec5140[1].exe'); DeleteFile('H:\Documents and Settings\Serg\Local Settings\Temp\xhcodec5140.exe'); DeleteFile('H:\Documents and Settings\Serg\Local Settings\Temporary Internet Files\Content.IE5\F2WJNLSX\xhcodec5140[1].exe'); DeleteFile('H:\Documents and Settings\Serg\Local Settings\Temporary Internet Files\Content.IE5\F2WJNLSX\xhcodec5140[2].exe'); DeleteFile('H:\WINDOWS\system32\qz.sys'); DeleteFile('H:\WINDOWS\system32\qz.dll'); DeleteFile('H:\WINDOWS\Temp\xhcodec5140.exe'); BC_ImportDeletedList; BC_DeleteSvc('grande48'); BC_DeleteSvc('ovwscn'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=22384).
Очистите временные файлы IE через "Свойства обозревателя".
Сделайте новые логи.
I am not young enough to know everything...
Спасибо за помощь стало лучше,но мне кажется что комп ещё не совсем адекватен. Карантин отправил,отпраляю логи.
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('H:\WINDOWS\780832.css',''); QuarantineFile('H:\WINDOWS\system32\qy.sys',''); DeleteFile('ovrscn.dll'); DeleteFile('H:\WINDOWS\system32\qy.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22384
Добавлено через 5 минут
UkrTeleGroup Ltd. - это Ваш провайдер?
85.255.116.99,85.255.112.66 - Вам эти адреса знакомы?
Если это всё не Ваше, тогда пофиксите ещё это
Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{1629801C-5198-4E3C-9222-739CD62C48C2}: NameServer = 85.255.116.99,85.255.112.66 O17 - HKLM\System\CCS\Services\Tcpip\..\{818FE948-CE0D-4A4A-B02E-647596ACFD7F}: NameServer = 85.255.116.99,85.255.112.66 O17 - HKLM\System\CCS\Services\Tcpip\..\{DF0D07DB-2CA2-4382-BF0B-F461DABB8D35}: NameServer = 85.255.116.99,85.255.112.66 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.99 85.255.112.66 O17 - HKLM\System\CS2\Services\Tcpip\..\{1629801C-5198-4E3C-9222-739CD62C48C2}: NameServer = 85.255.116.99,85.255.112.66 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.99 85.255.112.66 O17 - HKLM\System\CS3\Services\Tcpip\..\{1629801C-5198-4E3C-9222-739CD62C48C2}: NameServer = 85.255.116.99,85.255.112.66 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.99 85.255.112.66
Последний раз редактировалось wise-wistful; 05.05.2008 в 17:32. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- h:\\windows\\system32\\crypts.dll - Trojan-Downloader.Win32.Small.vea (DrWEB: Trojan.DownLoader.59716)
- h:\\windows\\system32\\ovwscn.sys - Backdoor.Win32.Haxdoor.kz (DrWEB: BackDoor.Haxdoor.440)
- h:\\windows\\system32\\qy.sys - Backdoor.Win32.Haxdoor.kz (DrWEB: BackDoor.Haxdoor.454)
- h:\\windows\\system32\\qz.dll - Backdoor.Win32.Haxdoor.kz (DrWEB: BackDoor.Haxdoor.440)
- h:\\windows\\system32\\qz.sys - Backdoor.Win32.Haxdoor.kz (DrWEB: BackDoor.Haxdoor.440)
- h:\\windows\\temp\\xhcodec5140.exe - Trojan.Win32.DNSChanger.bov (DrWEB: archive: Trojan.Starter.509)
- h:\\windows\\update.exe - Trojan-Dropper.Win32.Agent.qnz (DrWEB: Trojan.MulDrop.1504
Уважаемый(ая) SeGL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.